英特尔被消费者告上法庭,称该芯片制造商明知存在 Downfall 漏洞,却仍在市场上销售芯片。英特尔 CPU 用户的诉称,公司意识到了 Downfall 漏洞的潜在存在,但却无动于衷。
在讨论这起诉讼之前,我们先来回顾一下什么是 Downfall。如前所述,该漏洞特别影响使用 AVX2/AVX-512 集合指令的工作负载。英特尔透露,"Downfall"对老一代 Tiger Lake/ Ice Lake 系列产品的影响更大。简单地说,该漏洞会泄露硬件注册表内容,可能导致大规模数据盗窃。由于漏洞在业内很常见,因此并不被视为公司的过错,通常也会很快得到缓解。
然而,据5名英特尔 CPU 买家提起的诉讼称,I英特尔早在 2018 年起就知道 AVX 侧通道漏洞。此外,直到 Downfall 被发现,该公司才倾向于修复架构中的漏洞,这不仅让数百万用户的安全受到威胁,而且漏洞的后遗症导致处理器在部分应用场景下的下降了 50%。
诉状称,2018 年夏天,当英特尔正在处理 Spectre 和 Meltdown 时,该制造商收到了来自第三方研究人员的两份独立漏洞报告,警告称这家微处理器巨头的高级矢量扩展(AVX)指令集(允许英特尔 CPU 内核同时对多个数据块执行操作,从而提高性能)容易受到与另外两个严重缺陷相同的侧信道攻击。
申请者提出的论据显示,英特尔公司很早就意识到了这一"漏洞",尽管该公司五年前就知道它可能存在,但却没有做出任何努力来修复它。此外,据说英特尔还实施了与这些指令相关的"秘密缓冲区",其基本目的是暂时抑制漏洞的威胁,这非但没有解决问题,反而加剧了问题的发生,导致数据被盗等攻击。
这些秘密缓冲区加上留在 CPU 缓存中的副作用,在英特尔的 CPU 中打开了一个无异于后门的机制,允许攻击者利用 AVX 指令轻松获取内存中的敏感信息,包括用于高级加密标准(AES)加密的加密密钥,而这正是英特尔在 Spectre 和 Meltdown 事件后所谓修复的设计缺陷。
英特尔尚未对这一说法做出回应,但这是对该公司的严重指控,因为这表明英特尔显然对其架构中的潜在后门和漏洞"毫不关心",这将消费者和企业都置于风险之中。不过,我们现在还不能下结论,因为俗话说"疑罪从无"。